Det irske datatilsyn pålægger Meta Irland en bøde på 1,2 milliarder euro

Det irske datatilsyn pålægger Meta Irland en bøde på 1,2 milliarder euro

Compliance EU-ret Persondata og cybersikkerhed
Det irske datatilsyn har udstedt en rekordstor GDPR-bøde til Meta Irland for ulovlige EU–USA dataoverførsler baseret på SCC. EDPB krævede bøden og et påbud om at bringe behandlingen i overensstemmelse inden seks måneder. Afgørelsen skærper fokus på TIAs og underdatabehandlere.

Det irske datatilsyn har udstedt en administrativ bøde på 1,2 mia. euro til Meta Irland for ulovlige overførsler af personoplysninger om EU-borgere til USA baseret på standardkontraktbestemmelser. Myndigheden fandt, at virksomheden ikke kunne sikre og dokumentere et tilstrækkeligt beskyttelsesniveau ved overførslerne. Samtidig er der givet et påbud om at bringe behandlingsaktiviteterne i overensstemmelse med GDPR inden for seks måneder.

Retsligt grundlag og EDPB’s rolle

Efter GDPR må overførsler til tredjelande uden tilstrækkelighedskendelse kun ske, hvis der foreligger passende garantier, typisk efter artikel 46 via SCC. Den dataansvarlige skal påvise et reelt, ækvivalent beskyttelsesniveau, ofte gennem supplerende tekniske, organisatoriske og kontraktuelle foranstaltninger samt en dokumenteret overførselsvurdering (TIA). I den konkrete sag vurderede tilsynet, at disse krav ikke var opfyldt.

Den endelige afgørelse blev truffet på baggrund af en bindende beslutning fra Det Europæiske Databeskyttelsesråd. Rådet instruerede den irske myndighed i at udstede bøde og påbud, under henvisning til overtrædelsernes alvor og det meget store antal berørte registrerede.

Konsekvenser for praksis

Afgørelsen markerer et højt sanktionsniveau under GDPR og understreger, at bøder skal være effektive, proportionale og afskrækkende. Sagen kan blive indbragt for domstolene, men den skærper allerede nu kravene til styring af tredjelandsoverførsler, dokumentation og løbende kontrol.

Organisationer bør derfor forholde sig systematisk til risici ved overførsler til usikre tredjelande, herunder særligt amerikanske leverandører. Det gælder også for underdatabehandlere, hvor geografisk placering og koncernkontrol kan indebære overførsler, som skal være lovligt hjemlede og dokumenterede.

Følgende tiltag kan styrke efterlevelsen og reducere risici ved dataoverførsler:

  • Kortlægning af alle dataflow til tredjelande og identifikation af dataimportører og underdatabehandlere.
  • Gennemførelse og opdatering af TIAs med fokus på lokale myndighedsadgang og retsmidler.
  • Implementering af supplerende foranstaltninger samt ajourførte SCC’er og klare kontraktvilkår.
  • Etablering af løbende kontrol, hændelsesprocedure og evidens for dokumentationskrav.
  • Forberedelse på tilsyn, påbud og potentielle afhjælpende tilpasninger inden for korte frister.
Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Databehandleraftale, EU Domstolen, Dokumentationskrav, Databeskyttelse, Tredjelandsoverførsler, Standardkontraktbestemmelser, Dataansvarlig, EDPB, Proportionalitet, Tilsynsmyndighed, Sanktionspraksis, Behandlingsaktiviteter, Overførselsvurdering, Sanktionsniveau, Administrative bøder, Overførselsgrundlag, Compliance, Tilstrækkeligt beskyttelsesniveau, SCC, Korrektive foranstaltninger, Irsk datatilsyn, EU-ret, Underdatabehandler, Tia, Dataeksportør, Dataimportør, Supplerende foranstaltninger, Usikre tredjelande, Tilsynssamarbejde, DPC, Afskrækkende virkning, C-311/18, Grænseoverskridende behandling, Overholdelsesfrist, Bindende afgørelse, Overførselsforbud

Relaterede artikler

Er du og dit firma klar til at indberette tilsyns- og klientkontoerklæring?
Advokatsamfundet

Er du og dit firma klar til at indberette tilsyns- og klientkontoerklæring?

Advokatsamfundet skærper praksis for 2025-indberetninger: Interessentskaber skal fremover indsende én klientkontoerklæring på fællesskabet, mens hver advokat fortsat afgiver en personlig erklæring. Information udsendes pr. e-mail i 2026, så opdatér kontaktmail for firma, holdingselskab og komplementarselskab.
EP vedtager omnibuspakke 1 – Færre virksomheder omfattes og kravene forenkles
Erhvervsstyrelsen

EP vedtager omnibuspakke 1 – Færre virksomheder omfattes og kravene forenkles

Europa-Parlamentet har vedtaget en omnibuspakke, der forenkler CSRD og koordinerer med CSDDD. Betydeligt færre danske virksomheder bliver omfattet, og kravene bliver mere talbaserede. Reglerne gælder fra 2027, men regeringen vil fritage tidligere. Erhvervsstyrelsen opdaterer vejledningen.
Nylig dom markerer en skærpet praksis for brugen af miljø- og bæredygtighedsudsagn
Lund Elmer Sandager

Nylig dom markerer en skærpet praksis for brugen af miljø- og bæredygtighedsudsagn

En dom idømmer en dansk virksomhed en betydelig bøde for udokumenterede bæredygtighedspåstande. Afgørelsen skærper praksis for grøn markedsføring og anvender en omsætningsbaseret bødemodel. Samtidig implementeres EU-direktiv 2024/825 med klare forbud mod generiske miljøudsagn uden dokumentation.
Sidste chance: Få styr på efteruddannelsen inden nytår
Advokatsamfundet

Sidste chance: Få styr på efteruddannelsen inden nytår

Advokater med periodeudløb ved årsskiftet skal have opfyldt krav om 54 lektioner inden fristen. Pligten er personlig og gælder også ved deponering i december. Gem kursusbeviser forsvarligt til tilsyn og efterfølgende indberetning via Advokatsamfundet.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Statens Serum Institut
Jurist til Afdelingen for Databeskyttelse og Informationssikkerhed på Statens Serum Institut
Statens Serum Institut
Finanstilsynet
Har du erhvervserfaring, og vil du bidrage til at sikre en robust finansiel sektor?
Finanstilsynet
Finanstilsynet
Har du erhvervserfaring, og vil du bidrage til at sikre en robust finansiel sektor?
Finanstilsynet
Erhvervsministeriet
Kollega søges til Erhvervsministeriets kontor for finansielle juridiske forhold
Erhvervsministeriet
Politiets Efterretningstjeneste
Sektionsleder til Personalesikkerhed i PET
Politiets Efterretningstjeneste
Forsvaret
DPO til Hjemmeværnet
Forsvaret
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →